Восстановление active directory что это
Резервное копирование и восстановление контроллеров домена Active Directory
Резервное копирование Active Directory и обеспечение успешного восстановления в случае повреждения, компрометации или аварии является важной частью обслуживания Active Directory.
В этой статье описаны надлежащие процедуры резервного копирования и восстановления контроллеров домена Active Directory (виртуальных машин или локальных серверов Azure) с помощью Azure Backup. В ней рассматривается сценарий, в котором необходимо восстановить состояние всего контроллера домена до состояния на момент резервного копирования. Чтобы определить, какой сценарий восстановления подходит для вас, ознакомьтесь с этой статьей.
В этой статье не рассматриваются восстановление элементов из Azure Active Directory. Сведения о восстановлении пользователей Azure Active Directory см. в этой статье.
Рекомендации
Убедитесь, что создается резервная копия по крайней мере для одного контроллера домена. При резервном копировании нескольких контроллеров домена убедитесь, что резервное копирование выполняется для всех контроллеров с ролями FSMO (Flexible Single Master Operation — операции с одним исполнителем).
Регулярно создавайте резервные копии Active Directory. Срок резервного копирования никогда не должен превышать отметку полного удаления (TSL), поскольку объекты, существующие дольше срока TSL, полностью удаляются и больше не считаются допустимыми.
Значение TSL по умолчанию для доменов, созданных на базе Windows Server 2003 SP2 и более поздних версий, составляет 180 дней.
Чтобы проверить настроенный срок TSL, используйте следующий сценарий PowerShell:
Составьте четкий план аварийного восстановления, включающий инструкции по восстановлению контроллеров домена. Чтобы подготовиться к восстановлению леса Active Directory, ознакомьтесь с руководством по восстановлению леса Active Directory.
Если необходимо восстановить контроллер домена и сохранить оставшийся работоспособный контроллер домена в домене, вместо восстановления из резервной копии можно создать новый сервер. Добавьте роль сервера доменных служб Active Directory для нового сервера, чтобы сделать его контроллером домена в существующем домене. Тогда данные Active Directory будут реплицированы на новый сервер. Чтобы удалить предыдущий контроллер домена из Active Directory, выполните действия, описанные в этой статье, для очистки метаданных.
В Azure Backup не предусмотрено восстановление на уровне элементов для Active Directory. Если вы хотите восстановить удаленные объекты и можете получить доступ к контроллеру домена, используйте корзину Active Directory. Если этот метод недоступен, вы можете воспользоваться резервной копией контроллера домена для восстановления удаленных объектов с помощью средства ntdsutil.exe, как описано здесь.
Сведения о выполнении заслуживающего доверия восстановления SYSVOL см. в этой статье.
Резервное копирование контроллеров домена виртуальных машин Azure
Если контроллер домена является виртуальной машиной Azure, можно выполнить резервное копирование сервера с помощью резервного копирования виртуальных машин Azure.
Ознакомьтесь с замечаниями по эксплуатации виртуальных контроллеров домена, чтобы обеспечить успешное резервное копирование (и будущие операции восстановления) контроллеров домена виртуальных машин Azure.
Резервное копирование локальных контроллеров домена
Чтобы создать резервную копию локального контроллера домена, необходимо выполнить резервное копирование данных о состоянии системы сервера.
Восстановление локальных контроллеров домена (из состояния системы или виртуальных машин) в облаке Azure не поддерживается. Если вы хотите выполнить отработку отказа из локальной среды Active Directory в Azure, рассмотрите возможность использования Azure Site Recovery.
Восстановление Active Directory
Данные Active Directory можно восстановить в одном из двух режимов: заслуживающем доверия или не заслуживающем доверия. При заслуживающем доверия восстановлении восстановленные данные Active Directory переопределят данные, находящиеся на других контроллерах домена в лесу.
Однако в этом сценарии выполняется перестройка контроллера домена в существующем домене, поэтому восстановление должно быть не заслуживающим доверия.
Во время восстановления сервер будет запущен в режиме восстановления служб каталогов (DSRM). Для режима восстановления служб каталогов необходимо указать пароль администратора.
Если вы забыли пароль DSRM, его можно сбросить, следуя этим инструкциям.
Восстановление контроллеров домена виртуальных машин Azure
Сведения о восстановлении контроллера домена виртуальной машины Azure см. в разделе Восстановление виртуальных машин контроллера домена.
Если вы восстанавливаете одну виртуальную машину контроллера домена или несколько виртуальных машин контроллера домена в одном домене, восстановите их как любую другую виртуальную машину. Кроме того, доступен режим восстановления служб каталогов, следовательно, все сценарии восстановления Active Directory также являются приемлемыми.
Если необходимо восстановить виртуальную машину для одного контроллера домена в конфигурации с несколькими доменами, восстановите диски и создайте виртуальную машину с помощью PowerShell.
При восстановлении последнего оставшегося контроллера домена в домене или нескольких доменов в одном лесу рекомендуется восстановить лес.
Начиная с Windows 2012, виртуализированные контроллеры домена используют средства безопасности на основе виртуализации. С помощью этих средств безопасности служба Active Directory определяет, является ли восстановленная виртуальная машина контроллером домена, и выполняет необходимые действия для восстановления данных Active Directory.
Восстановление локальных контроллеров домена
Чтобы восстановить локальный контроллер домена, следуйте указаниям по восстановлению состояния системы в Windows Server, придерживаясь рекомендаций, касающихся особых замечаний по восстановлению состояния системы на контроллере домена.
Резервное копирование и восстановление сервера Active Directory
Домен Active Directory Services предоставляют функции для резервного копирования и восстановления данных в базе данных каталогов. В этом разделе описано, как выполнить резервное копирование и Восстановление сервера Active Directory. Дополнительные сведения о резервном копировании сервера Active Directory с помощью служебных программ, предоставляемых в операционных системах Windows 2000 и Windows Server 2003, см. в соответствующем наборе ресурсов, доступном на веб-сайте Microsoft TechNet.
Резервная копия сервера Active Directory должна быть выполнена в режиме в сети и должна быть выполнена при установке служб домен Active Directory. Домен Active Directory службы основаны на специальной базе данных и экспорте набора функций резервного копирования, предоставляющих интерфейс программной архивации. Резервная копия не поддерживает добавочное резервное копирование. Приложение резервного копирования привязывается к локальной библиотеке DLL на стороне клиента с точками входа, определенными в Нтдсбкли. h.
Восстановление сервера Active Directory всегда выполняется в автономном режиме.
Хотя в подразделах этого раздела описывается только процесс резервного копирования и восстановления сервера Active Directory, имейте в виду, что Windows 2000 и операционные системы Windows Server 2003 имеют несколько компонентов «состояние системы», которые необходимо архивировать и восстанавливать вместе. Эти компоненты состояния системы состоят из следующих компонентов:
Состояние системы можно архивировать в любом порядке, но восстановление состояния системы должно выполняться в следующем порядке:
Дополнительные сведения о резервном копировании и восстановлении служб сертификатов см. в разделе Использование функций резервного копирования и восстановления служб сертификатов.
Дополнительные сведения о резервном копировании и восстановлении домен Active Directory служб см. в следующих статьях:
Восстановление контроллера домена из резервной копии с помощью Veeam
Продолжаем публикацию серии статей, написанных коллегой для корпоративного блога и посвященных резервному копированию и восстановлению контроллеров домена и собственно Active Directory.
В предыдущей статье из этой серии рассказывалось о процедуре бэкапе физических и виртуальных контроллеров домена (DC). Сегодня поговорим об их восстановлении.
Сразу скажу, что этот пост не является руководством по восстановлению Active Directory. Его задача — рассказать о том, что необходимо учитывать при восстановлении AD или конкретного контроллера домена из резервной копии, а также показать, как можно выполнить эти действия с помощью решений Veeam.
Доскональное знание своей инфраструктуры очень помогает при планировании восстановления AD. Вот лишь часть вопросов, ответы на которые вам необходимо знать, чтобы успешно восстанавливать данные:
Восстановление виртуализованного контроллера домена
Собираясь восстанавливать контроллер домена, необходимо сначала определить, будет ли достаточен режим non-authoritative или потребуется воспользоваться режимом authoritative.
Разница между этими двумя режимами заключается в том, что при режиме восстановлении non-authoritative контроллер домена понимает, что он был в течение некоторого времени отключен. Поэтому он позволяет другим контроллерам обновить его базу данных, внеся в нее последние изменения, произошедшие во время его отсутствия. А при authoritative восстановлении контроллер считает, что только на нем имеется истинно верная база данных, поэтому именно он получает полномочия на обновление баз данных других контроллеров домена на основе своих данных.
В большинстве сценариев восстановления вам потребуется режим non-authoritative, поскольку в среде имеется несколько контроллеров домена. (Кроме того, authoritative восстановление может привести к новым проблемам.)
Именно на этом основана логика Veeam Backup & Replication: по умолчанию выполняется non-authoritative восстановление, поскольку считается, что инфраструктура выстроена с избыточностью и включает в себя несколько контроллеров.
Чтобы выполнить authoritative восстановление с помощью Veeam, необходимо осуществить некоторые дополнительные действия, которые будут описаны позже.
Полезно: Еще один распространенный вариант действий при отказе контроллера домена — распределить его роли между другими контроллерами и очистить метаданные, если восстановление маловероятно. В этом случае вы поручаете другим DC выполнять функции отказавшего, и вам не нужно его восстанавливать.
Восстановление в режиме «non-authoritative»
Итак, вернемся к файлам резервных копий, создание которых было описано в предыдущей статье. Для того, чтобы восстановить контроллер домена из резервной копии Veeam Backup & Replication, нужно:
Восстановление в режиме «authoritative»
С большой долей вероятности вам не потребуется этот режим восстановления. Однако давайте познакомимся с ним поближе, чтобы вы поняли, почему это так.
Этот режим можно использовать, например, когда вы пытаетесь восстановить верную копию контроллера домена в среде с несколькими контроллерами домена, при том, что вся структура AD по какой-то причине повреждена (напр., вредоносное ПО, вирус и т. п.). В этой ситуации, разумеется, предпочтительно, чтобы поврежденные котроллеры домена принимали изменения от вновь восстановленного контроллера.
Примечание: Выполняемые действия сходны с тем, что происходит при использовании Veeam SureBackup для восстановления контроллера домена в изолированной среде.
Чтобы выполнить восстановление удаленного объекта или контейнера в режиме authoritative и принудить контроллер домена скопировать восстановленные данные с этого DC на другие контроллеры:
Процедура authoritative восстановления SYSVOL (при использовании службы FRS):
Это обеспечит принудительное копирование данных на контроллеры домена, использующие старую технологию FRS, в «authoritative» режиме. Подробнее о восстановлении FRS можно почитать здесь.
Восстановление физического контроллера домена с Veeam Endpoint Backup
Теперь немного о восстановлении физической машины из резервной копии с помощью Veeam Endpoint Backup.
После восстановления с помощью Veeam Endpoint Backup ваш контроллер домена загрузится в режиме восстановления. Вам нужно будет решить, хотите ли вы менять ключи реестра или сразу перезапустите ВМ в обычном режиме. Возможно, эта статья базы знаний Veeam будет полезна.
Здесь можно прочитать о восстановлении «на голое железо» резервной копии с помощью Veeam Endpoint Backup более подробно.
Итак, мы рассмотрели восстановление отдельного контроллера домена. Однако чаще всего при работе с AD требуется восстановить случайно удаленный объект, и в этом случае восстанавливать контроллер целиком — не самый эффективный вариант. Поэтому в следующей статье я расскажу о восстановлении отдельных объектов каталога AD с помощью собственных инструментов Microsoft и утилиты Veeam Explorer для Active Directory.
Восстановление Active Directory из резервной копии
В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии System State, созданной ранее (см. статью Резервное копирование Active Directory) и рассмотрим типы и принципы восстановления DC в AD.
Допустим у вас вышел из строя контроллер домена AD, и вы хотите восстановить его из созданной ранее резервной копии. Прежде чем приступить к восстановлению DC, нужно понять какой сценарий восстановления контроллера домена вам нужно использовать. Это зависит от того, есть ли у вас в сети другие DC и повреждена ли база Active Directory на них.
Восстановление контроллера домена AD через репликацию
Восстановление DC через репликацию – это не совсем процесс восстановления DC из бэкапа. Этот сценарий может использоваться, если у вас в сети есть несколько дополнительных контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера, повышение его до нового DC в этом же сайте. Старый контроллер нужно просто удалить из AD.
Это самый простой способ, который гарантирует что вы не внесете непоправимых изменений в AD. В этом сценарии база ntds.dit, объекты GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый DC с DC-ов, оставшихся онлайн.
Если размер базы ADDS небольшой и другой DC доступен по скоростному каналу, это намного быстрее, чем восстанавливать DC из бэкапа.
Типы восстановления Active Directory: полномочное и неполномочное
Есть два типа восстановления Active Directory DS из резервной копии, в которых нужно четко разобраться перед началом восстановления:
Восстановление контроллера домена AD из system state бэкапа
Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.
У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.
Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.
Active Directory repair mode» srcset=»https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode.png 575w, https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode-300×196.png 300w» sizes=»(max-width: 575px) 100vw, 575px» />
Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.
В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).
Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.
Выберите дату, на которую нужно восстановить резервную копию.
Укажите, что вы восстанавливаете состояние System State.
Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).
Система покажет предупреждение, что эта резервная копия другого сервера, и что при восстановлении на другом сервере может не завестись. Продолжаем.
Согласитесь с еще одним предупреждением:
После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).
Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)
Авторизуйтесь на сервере под учетной записью с правами администратора домена.
При первом запуске консоли ADUC я получил ошибку:
При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:
Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.
Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.
Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.
Восстановление отдельных объектов в AD
Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.
Вкратце процедура выглядит следующим образом:
Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:
restore subtree ″OU=Users,DC=winitpro,DC=ru″
restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”
Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.
Выйдите из ntdsutil: quit
Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.
Восстановление объектов Active Directory: сборник сценариев
Несомненно, многие из Вас неоднократно сталкивались с такой проблемой – удалены учетные записи пользователей. Статей по восстановлению учетных записей много, и, наверное, самая лучшая написана Microsoft, однако им всем не хватает наглядности. Мы постараемся преодолеть этот недостаток, сведя процедуру восстановления учетных записей к простым шагам.
Как Вы знаете, восстанавливать объекты можно различными способами, каждый из которых подходит наилучшим образом в той или иной ситуации.
При этом предпочтительным является восстановление из tombstone-объектов. На это есть несколько причин:
Часть атрибутов удаляется вместе с удалением объекта – их уже не восстановить. Например, членство в группах безопасности.
Если вы вновь создаете объект, он всегда будет иметь новые атрибуты objectGUID и objectSid (если это участник политики безопасности, такой как пользователь). В результате любые внешние ссылки на объект, такие как ACL, необходимо будет обновлять для отражения нового идентификатора объекта. Это может стать очень большой проблемой.
Поэтому в данном посте сначала будут рассмотрены способы, использующие tombstone-объекты, и лишь в конце приведена информация по принудительному восстановлению. В конце поста будут рассмотрены возможности утилиты восстановления NetWrix Active Directory Object Restore Wizard. Информация для поста взята из документа «Восстановление объектов Active Directory: сборник сценариев», подготовленного NetWrix. Заинтересованных приглашаем под кат.
Что необходимо восстановить: пример
Дано:
Из домена acme.com удалена OU Finance_Department с входящими в нее учетными записями Oleg и Dmitry и вложенной OU Admins, в которой находится учетная запись Sergey.
Задача:
Восстановить OU во всеми членами (включая и вложенную OU) и атрибутами учетных записей.
И решаться эта задача будет всеми возможными способами.
1. Восстановление объектов с помощью ldp.exe
Порядок действий:
1) Включаем отображение в консоли удаленных объектов (CN=Deleted Objects)
Сначала необходимо сделать так, чтобы удаленные объекты отображались (а по умолчанию контейнер CN=Deleted Objects не отображается. Используем ldp.exe в Active Directory (требует членства в Domain Admins).
1. Запускаем ldp.exe. (Пуск – Выполнить – ldp.exe)
2. В меню Options (Параметры) выбираем пункт Controls (Элементы управления)
3. В появившимся диалоговом окне выбираем меню Load Predefined (Предопределенная перезагрузка), в нем выбираем пункт Return deleted objects (Возврат удаленных объектов) и нажимаем Ок
4. Проверьте, как отображается контейнер удаленных объектов:
a. Чтобы подключиться и выполнить привязку к серверу, на котором находится корневой домен леса среды Active Directory, в разделе Connections (Подключение) выберите пункт Connect (Подключить) и нажмите Bind (Привязка).
b. Нажмите кнопку Обзор, выберите пункт Структура и в поле Distinguished Name (DN) введите DC=,DC=.
c. В дереве консоли дважды щелкните различающееся имя (DN) корневого домена и найдите контейнер CN=Deleted Objects, DC=acme,DC=com.
Восстанавливаем объекты:
Рассмотрим восстановление на примере учетной записи Oleg, входящей в OU Finance_Department.
1) Запускаем ldp.exe
2) В разделе Connections (Подключение) выбираем пункт Connect (Подключить) — Bind (Привязка) Подключаемся и осуществляем привязку к серверу, на котором находится корневой домен леса среды Active Directory
3) В дереве консоли переходим в контейнер CN=Deleted Objects (прописываем также DC=acme,DC=com для взятого за пример домена)
4) Находим в оснастке в контейнере CN=Deleted Objects объект, который хотим восстановить, щелкаем правой кнопкой на него и выбираем пункт Modify (Изменить).
5) В окне Modify (Изменение) меняем следующие параметры
a. В поле Edit Entry (Изменить запись) атрибута вводим isDeleted
b. Оставляем поле Values (Значение) пустым
c. В разделе Operation (Операция) выбираем Delete (Удалить) и нажимаем клавишу Enter (ВВОД)
d. В поле Edit Entry Attribute (Изменить запись Атрибута) вводим distinguishedName
e. В поле Values (Значения) вводим первоначальное различающееся имя (DN) этого объекта Active Directory.
f. В разделе Operation (Операция) выбираем Replace (Заменить)
g. Устанавливаем флажок Extended (Расширенный), нажимаем клавишу Enter (ВВОД), а затем Run (Выполнить)
Учетная запись восстановлена, но деактивирована. Включить ее необходимо будет вручную. Также вручную необходимо восстановить членство в группах и сбросить пароль.
Те же самые действия повторяем для оставшихся объектов:
OU Finance_Department
OU Admins
Учетной записи Dmitry
Учетной записи Sergey
Необходимо проделать много действий, прежде чем объект будет восстановлен.
Все действия придется повторить для каждого из удаленных объектов.
2. Используем ADRESTORE
Восстановление объектов-захоронений с помощью LDP дело несложное. Однако неудобное и долгое. Для этих целей есть ADRESTORE, которая предназначена специально для восстановления объектов AD.
Утилита работает в двух режимах:
• Запуск без параметров. Она выведет список всех объектов-захоронений в контейнере CN=Deleted Objects домена по умолчанию. Можно добавить строку для поиска в командной строке, чтобы выбрать объекты для показа:
Выводятся все объекты в контейнере CN=Deleted Objects, которые содержат строку «Finance_Department» в атрибуте CN или OU — используется поисковый фильтр LDAP cn=*Finance_Department* и ou=*Finance_Department*. На рисунке ниже показаны результаты поиска, возвращенного программой ADRESTORE.
• Восстановление объектов
Если нужно восстановить объект-захоронение, а не только найти его, необходимо указать параметр –r вместе с дополнительной строкой, например, вот так:
Для восстановления учетных записей используем команды:
Команда предложит восстановить каждый удовлетворяющий условию объект-захоронение. Объект восстанавливается в контейнер, указанный атрибутом lastKnownParent объекта-захоронения (и никакой другой).
Эта команда предложит восстановить каждый подходящий объект-захоронение. ADRESTORE всегда восстанавливает объект в контейнер, указанный атрибутом lastKnownParent объекта-захоронения, нет никакого способа указать другой контейнер.
ADRESTORE легче использовать, чем LDP.
Утилита позволяет относительно быстро восстановить объекты, но опять-таки без необходимых атрибутов — членство в группах и пароли придется восстановить вручную. Один из самых популярных способов восстановления объектов.
3. Использование AD Recycle Bin (Windows Server 2008 R2)
В Windows Server 2008 R2 появилась корзина Active Directory Recycle Bin (AD RB), Чтобы ее активировать, необходимо, чтобы уровень леса был Windows Server 2008 R2. AD RB напоминает обыкновенную корзину Windows — случайно удаленный объект может быть быстро и со всеми атрибутами восстановлен. Причем восстановленный из AD RB объект сразу же получает и все свои атрибуты. По умолчанию время «жизни» удаленного объекта в AD RB составляет 180 дней, после этого переходит в состояние Recycle Bin Lifetime, теряет атрибуты и через некоторое время полностью удаляется.
В самом простом случае восстановление объекта происходит с помощью Powershell командлетов Get-ADObject и Restore-ADObject (в том случае, если Вы точно знаете, что именно Вам необходимо восстановить). Командлет Get-ADObject используется для извлечения удаленного объекта, который затем передается с помощью конвейера в командлет Restore-ADObject:
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell введите следующую команду:
В данном примере
-Filter указывает, что какую информацию об объекте AD необходимо получить (в примере – об объекте с отображаемым именем пользователя “user),
-IncludeDeletedObjects означает, что поиск осуществляется по удаленным объектам
Restore-ADObject непосредственно осуществляет восстановление объекта AD.
Поиск удаленных объектов
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell вводим следующие команды для получения необходимой информации:
Вывод информации об удаленных объектах в домене acme.com
Получаем информацию о том, в какой OU состоял удаленный пользователь
Где User – отображаемое имя пользователя
В итоге получаем информацию о принадлежности к OU указанного пользователя (с помощью -Properties lastKnownParent)
Поиск всех удаленных объектов, которые входили в данную OU
В качестве примера берем различающееся имя OU Finance_Department, которое было получено после запуска предыдущего командлета (Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a).
Внимание! Если у Вас имеется вложенная OU, восстановление осуществляется начиная с наивысшего уровня иерархии. В данном случае таковым является OU=Finance_Department.
1. Запускаем Модуль Active Directory для Windows PowerShell
2. Восстанавливаем подразделение Finance_Department, выполнив в командной строке следующую команду:
3. Восстанавливаем учетные записи и OU, которые являются непосредственными дочерними объектами OU Finance_Department (помните, что на этом этапе различающееся имя Finance_Department уже восстановлено в значение OU=Finance_Department,DC=acme,DC=com)
Опционально (восстановление вложенных OU)
4. Восстанавливаем учетные записи, входящие во вложенную OU (например, OU Admins, которая входит в состав OU Finance Department. Различающееся имя в нашем примере было восстановлено в значение OU=Admins,OU=Finance_Department,DC=acme,DC=com)
Подробную справку о командлетах и их параметрах вызвав командлет Get-Help, например Get-Help Get-ADObject
Итог:
Объекты будут восстановлены в первоначальный вид – со всеми атрибутами.
Однако, как мы можем видеть, данный метод довольно сложен, когда приходится работать с большим количеством объектов.
Также требуется, все сервера в лесу должны быть Windows 2008 R2.
Для восстановления объектов с атрибутами при включенной корзине AD можно использовать описанные выше инструменты LDP и AdRestore.
4. Принудительное восстановление с помощью NTDSUTIL
Стандартным способом (но, однако, не самым подходящим) является принудительное восстановление из резервной копии в режиме Directory Service Restore Mode. Он обладает серьезными недостатками: нужно перезагружать сервер, а во-вторых, восстанавливать из резервной копии состояние системы и помечать, какие объекты не будут перезаписаны процессом репликации.
Восстановление осуществляется с помощью утилиты командной строки NTDSUTIL. Утилита становится доступной после установки роли AD DS. Используя ее, можно восстановить как OU со всем содержимым, так и отдельный объект.
Работа утилиты основана на мгновенных снимках (снапшотах) Active Directory, которые делаются при помощи службы VSS.
Внимание! В ходе принудительного восстановления AD внутренний номер версии восстанавливаемых объектов увеличивается. После подключения контроллера домена к сети эти объекты будут реплицированы по всему домену, а восстановленная версия становится глобально действующей.
Порядок действий:
1. Нам необходимо восстановить OU Finance_Department из домена acme.com
2. Загружаемся в режиме DSRM (в загрузочном меню вызывается нажатием клавиши F8) и выполните регистрацию с паролем, DSRM, заданным во время работы Dcpromo. AD не загружается, база данных переводится в автономный режим.
Внимание! Невозможно выполнить восстановление, если на контроллерах домена Server 2008 и выше остановлена служба NTDS AD.
3. Восстановите системное состояние из резервной копии, созданной до аварии.
Внимание! Не перезагружайте компьютер.
В снимке, полученном при помощи ntdsutil, присутствует как сам объект, так и его атрибуты. Образ можно монтировать и подключать в качестве виртуального LDAP-сервера, экспортирующего объекты. Запускаем ntdsutil:
Просматриваем список доступных снимков:
Монтируем командой mount c указанием номера или
4. Запустите команду
Для восстановления подразделения Finance_Department
В итоге будет восстановлена OU Finance_Department с входящими в нее учетными записями и вложенной OU Admins
Для восстановления отдельной учетной записи, например, c отображаемым именем Oleg
5. Необходимо подтвердить предупреждения безопасности. Затем будет выдано сообщение, подобное показанному на рисунке 3. Обратите внимание на сформированные текстовые и LDIF-файлы.
Перезагрузите DC в нормальном режиме запуска операционной системы.
7. Зарегистрируйтесь на DC и откройте командную строку. Импортируйте LDIF-файл, экспортированный на шаге 5, выполнив команду
где ar_20110221-151131_links_contoso.com.ldf – имя созданного LDIF-файла.
8. В результате будут импортированы значения связанных атрибутов (такие, как членство в группах) для восстановленных объектов
Внимание! Если в лесу содержится несколько доменов, необходимо использовать текстовый файл, экспортированный на шаге 6 для восстановления членства в локальных группах других доменов.
Итог:
Учетные записи и объекты восстановлены, однако база Active Directory была недоступна в течение определенного периода времени. Вы также зависите от наличия актуальных баз данных AD, полагаясь на данный метод восстановления.
5. NetWrix Active Directory Object Restore Wizard
Процесс восстановления объектов можно очень сильно упростить, если воспользоваться утилитой NetWrix Active Directory Object Restore Wizard.
Сразу хочется отметить, что в нашу компанию постоянно обращаются администраторы, которые удалили объекты AD и теперь хотят их восстановить. Предлагаемое нами решение – NetWrix Active Directory Object Restore Wizard — хоть и позволяет упростить процесс восстановления объектов (например, восстановить OU со всеми объектами и их атрибутами за пару кликов), однако все равно не творит чудеса – программа должна быть установлена в домене и периодически делать снимки AD. Поэтому рекомендуем после прочтения статьи все-таки поставить программу работать (есть бесплатная версия с периодом восстановления за последние 4 дня), чтобы в следующий раз не испытывать таких проблем с восстановлением объектов.
Утилита позволяет восстанавливаться удаленные объекты за пару кликов, а в том случае, если программа работала до удаления объектов в домене, то восстановление происходит со всеми атрибутами. В итоге Вы получаете возвращенные учетные записи за пару минут без серьезных сбоев в работе организации. Также следует отметить то, что программа позволяет восстанавливать удаленные почтовые ящики.
Работа с программой сводится к следующим шагам:
1. Запускается мастер NetWrix Active Directory Object Restore Wizard.
2. Выбирается режим восстановления:
• Только из tombstone-объектов (если программа не была установлена до этого в домене)
• Восстановление с использованием снапшотов (если программа была установлена и был сделан хотя бы один снапшот)
3. По результатам анализа выводится список удаленных объектов с их первоначальной иерархией и объектами
4. Выберите те OU или объекты, которые необходимо восстановить, и нажмите далее
5. В зависимости от того, была ли установлена программа раньше или нет:
• Если не была, то необходимо вручную восстановить членство в группах и пароли пользователей
• Если программа была установлена, то восстановление на этом закончено и все будет работать так, как будто ничего не произошло.
Как Вы можете видеть, восстановление объектов занимает гораздо меньше времени, нежели с использованием штатных инструментов восстановления объектов Active Directory.
Но восстановление объектов – это только одна из сторон программы. Вы также можете откатывать изменения объектов – вплоть до значения одного атрибута – программа предназначена и для этого.
Итог:
Восстановление объектов с атрибутами сводится к паре простых шагов. Возможно не только восстановить объекты, но и откатить лишь их некоторые значения.
Все эти способы восстановления приведены в «Наборе первой помощи для восстановления объектов AD», который Вы можете скачать на нашем сайте